Microsoft Office 365の先進認証

Secure Mailは、Active Directoryフェデレーションサービス(AD FS)またはIDプロバイダー(IDP)でMicrosoft Office 365の先進認証をサポートしています。先進認証は、ユーザー名とパスワードを使用したOAuthトークンによる認証です。iOSデバイスを使用しているSecure Mailユーザーは、Office 365に接続するときに、証明書ベースの認証を利用できます。Secure Mailにサインインするときに、ユーザーは、資格情報を入力する代わりにクライアント証明書を使用して認証します。

続行する前に、次の操作を行います:

  1. Microsoft Office 365の先進認証(OAuth)を有効にします。
  2. 最適なネットワーク接続を確保するために、ファイアウォール内のOffice 365エンドポイント、URL、IPアドレス範囲を有効にします。詳しくは、MicrosoftのドキュメントでOffice 365のURLとIPアドレスの範囲を参照してください。

Citrix Endpoint Managementポリシーの前提条件

Citrix Endpoint Managementコンソールで以下のポリシーを有効にします:

iOSを実行しているデバイスの場合:

  • Office 365の認証メカニズム: このポリシーは、Office 365でアカウントを構成する時に認証に使用するOAuthメカニズムを示します。このポリシーでは、次の値を構成する必要があります:

    • OAuthを使用しない: このポリシーは、アカウントの構成時に基本認証で使用します。
    • OAuthでユーザー名とパスワードを使用する: このポリシーは、認証時にOAuthプロトコルで使用します。ユーザーは、OAuthのフローでユーザー名とパスワード、およびオプションで多要素認証コードを提供する必要があります。
    • クライアント証明書でOAuthを使用: このポリシーは、証明書ベースの認証を実行するようOffice 365が構成されている場合に使用します。デフォルトの構成は、[OAuthを使用しない] です。

Androidを実行しているデバイスの場合:

  • Office 365に先進認証を使用: このポリシーは、認証時にOAuthプロトコルで使用します。
  • 先進認証用のカスタムユーザーエージェント: このポリシーを使用して、先進認証でデフォルトのユーザーエージェント文字列を変更します。

iOSとAndroid端末に共通するポリシー:

  • 信頼されたExchange Onlineホスト名: このポリシーを使用して、アカウントの構成時に、認証にOAuthメカニズムを使用する信頼できるExchange Onlineのホスト名一覧を定義します。これは、server.company.com, server.company.co.ukのようなコンマ区切りの形式です。この一覧には、デフォルト値またはバニティURLを含めることができますが、空にはできません。デフォルト値はoutlook.office365.comです。
  • 信頼されたAD FSホスト名: このポリシーを使用して、Office 365 OAuth認証中にパスワードを入力するWebページの、信頼できるAD FSホスト名一覧を定義します。これは、sts.companyname.com, sts.company.co.ukのようなコンマ区切りの形式です。一覧が空の場合、Secure Mailはパスワードを自動入力しません。Secure Mailは、ホスト名一覧をOffice 365認証中に検出されたWebページのホスト名と照合し、そのページがHTTPSプロトコルを使用しているかを確認します。たとえば、sts.company.comがホスト名一覧にある場合、ユーザーがhttps://sts.company.comにアクセスすると、パスワードフィールドがあれば、Secure Mailがパスワードを入力します。デフォルト値はlogin.microsoftonline.comです。
  • Secure Mail Exchange Server: このポリシーを使用して、Exchange Serverのアドレスを定義します。

Secure Mail for iOSでは、ポリシーがデバイス上で更新されると先進認証が有効になります。

制限事項

  • 環境で先進認証を使用している場合、iOSのリッチプッシュ通知機能は利用できません。リッチプッシュ通知について詳しくは、「Secure Mailのプッシュ通知」を参照してください。
  • 証明書ベースの認証を実行するセットアップでは、複数アカウントはサポートされていません。

Secure Mailポリシー

次の表は、Exchangeインフラストラクチャごとに必要なSecure Mailポリシーです。

Exchangeインフラストラクチャ Office 365の認証メカニズム/Office 365に先進認証を使用 信頼されたAD FSホスト名 信頼されたExchange Onlineホスト名 Secure MailのExchange Server バックグラウンドネットワークサービス(iOS) バックグラウンドネットワークサービス(Android)
オンプレミス オフ - - Exchangeのオンプレミスホスト名 オンプレミス オンプレミス
ハイブリッド* オン AD FS/IDP Outlook.office365.comまたはバニティURL Exchangeのオンプレミスホスト名 オンプレミス、Exchange Onlineのホスト名 オンプレミス、Exchangeのオンプレミスホスト名、AD FS/IDP(内部のみ)
Exchange Online オン AD FS/IDP Outlook.office365.comまたはバニティURL Outlook.office365.com Exchange Onlineのホスト名 Exchangeのオンプレミスホスト名、AD FS、IDP

*Secure Mailは、ハイブリッドExchangeインフラストラクチャと移行されたメールボックスの使用をサポートします。

オンプレミスユーザーのメールボックスがExchange Onlineに移行されると、Secure Mailは自動的にこの変更を検出し、先進認証を使用するよう求めるメッセージをユーザーに表示します。アカウントを再構成する必要はありません。

注:

バックグラウンドネットワークサービスは、メールサーバーとAD FSが内部にある場合にのみ構成します。

Secure MailでのOAuthのサポートマトリックス

次の表は、iOSおよびAndroidデバイス上のSecure Mailに関するOAuthのサポートマトリックスです:

認証の種類 IDP/外部AD FS IDP/内部AD FS Azure AD Intune
ユーザー名とパスワード はい はい はい はい
クライアント証明書 iOSのみ いいえ いいえ いいえ

Microsoft Office 365の先進認証